国产草草浮力影院|亚洲无码在线入口|超碰免频在线播放|成人深夜视频在线|亚洲美国毛片观看|69无码精品视频|精品有码一区二区|69式人人超人人|国产人人人人人操|欧美久久天天综合

發(fā)文機關國家原子能機構

發(fā)文日期2020年09月07日

時效性現(xiàn)行有效

發(fā)文字號國原發(fā)〔2020〕3號

施行日期2020年09月07日

效力級別部門規(guī)范性文件

1. 引言

1.1 目的

本導則對核設施營運單位制定、運行和維護《網(wǎng)絡安全實施計劃》采取必要的技術類控制措施提供指導, 使得能夠實現(xiàn)核設施網(wǎng)絡安全的總體目的，確保關鍵系統(tǒng)免受設計基準威脅所規(guī)定的網(wǎng)絡攻擊損壞而造成下述后果:

1) 對數(shù)據(jù)和軟件完整性或機密性產(chǎn)生不利影響；

2) 拒絕訪問系統(tǒng)、服務或數(shù)據(jù)產(chǎn)生的不利影響；

3) 對系統(tǒng)、網(wǎng)絡和相關設備運行的不利影響。

1.2 依據(jù)

依據(jù)《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡安全法》《中華人民共和國密碼法》《中華人民共和國保守國家秘密法》《中華人民共和國核材料管制條例》制定本導則。

1.3 范圍

本導則適用于我國核動力廠（核電廠、核熱電廠、核供汽供熱廠等）和研究堆、實驗堆、臨界裝置等；核燃料生產(chǎn)、加工、貯存和后處理設施；放射性廢物的儲存、處理和處置設施營運單位的核設施網(wǎng)絡安全管理。

2. 訪問控制

2.1 訪問控制方針和規(guī)程

核設施營運單位應制定、分發(fā)和[每年]進行審核與更新文檔化的關鍵系統(tǒng)訪問控制方針，包括目的、適用范圍、角色、職責和內部協(xié)調。核設施營運單位同時也應制定文檔化的促進執(zhí)行訪問控制方針及相關安全訪問控制的規(guī)程。

訪問控制方針的目的是確保僅經(jīng)授權的個人或代表他們的進程可以訪問關鍵系統(tǒng)并執(zhí)行經(jīng)授權的操作。訪問控制方針包含以下系統(tǒng)特定要求：賬戶管理、強制訪問控制、強制數(shù)據(jù)流控制、功能分離、最小權限、登錄失敗處理、系統(tǒng)使用通告、系統(tǒng)登錄歷史通告、會話鎖定、監(jiān)督和檢查/訪問控制、準許未經(jīng)身份認證或授權的行為、自動標識、自動標簽、網(wǎng)絡接入控制、開放/非安全協(xié)議限制、無線接入限制、非安全和惡意連接、便攜式和可移動設備接入控制、專用協(xié)議透明度、第三方產(chǎn)品使用及控制和外部系統(tǒng)的使用。

訪問控制方針具有以下幾點要素：

1) 訪問權控制（即何人和何種進程可以訪問何種資源）與訪問權限控制（即這些人和進程對可訪問的資源執(zhí)行何種操作）；

2) 關鍵系統(tǒng)管理（即創(chuàng)建、激活、修改、檢查、禁用和刪除賬戶）；

3) 保護密碼/密鑰數(shù)據(jù)庫以防止未授權訪問高級用戶和密碼列表；

4) 關鍵系統(tǒng)[每年]定期審計或當人員角色、職責變動或系統(tǒng)的配置或功能的重大變更時立即進行審計；

5) 職責分離（即，通過指定的訪問授權）。

2.2 賬戶管理

核設施營運單位應：

1) 管理并記錄關鍵系統(tǒng)賬戶，包括賬戶的授權、創(chuàng)建、激活、修改、檢查、禁用和刪除；

2) 依照與[設計控制方案、訪問控制計劃及其他相關網(wǎng)絡安全規(guī)程]提供的訪問控制列表要求一致的方式檢查關鍵系統(tǒng)賬戶及[至少每30天一次]對關鍵系統(tǒng)賬戶采取所需行動；

3) 要求訪問控制權基于崗位職責；

4) 當個人職責變更后進行審核，確保其訪問權依舊與其職責功能相符；

5) 定期檢查關鍵系統(tǒng)賬戶并記錄檢查結果；

6) 采用支持關鍵系統(tǒng)賬戶管理的自動化機制并使得關鍵系統(tǒng)可自動地啟用以下控制：

(1) 刪除臨時賬戶、訪客賬戶和應急賬戶（至少每30天進行一次）；

(2) 停用不活躍賬戶（至少每30天進行一次）；

(3) 創(chuàng)建并保護賬戶創(chuàng)建、刪除和修改的審計記錄；

(4) 記錄并向系統(tǒng)管理員通報賬戶的創(chuàng)建、刪除和修改行為，以便于系統(tǒng)管理員知曉任何賬戶的變動，及時調查研究潛在的網(wǎng)絡攻擊。

2.3 強制訪問控制

核設施營運單位應：

1) 依照已制定的方針及規(guī)程，對關鍵系統(tǒng)的訪問控制進行授權；

2) 依照用戶的授權范圍為其分配對關鍵系統(tǒng)訪問權和訪問權限；

3) 規(guī)定并記錄關鍵系統(tǒng)的權限功能和網(wǎng)絡安全相關信息；

4) 依照已制定的方針及規(guī)程，授權個人訪問權限功能和網(wǎng)絡安全相關信息；

5) 將(植入硬件、軟件和固件)權限功能和網(wǎng)絡安全相關信息的訪問限制到經(jīng)授權的個人（如網(wǎng)絡安全實施計劃負責人）；

6) 對關鍵權限功能和創(chuàng)建用戶任何訪問權限進行雙重授權；

7) 確保強制訪問控制機制不對關鍵系統(tǒng)的運行性能產(chǎn)生不利影響，并在不能使用強制訪問控制時采取替代補充的訪問控制措施，并予以文檔說明。

2.4 強制數(shù)據(jù)流控制

核設施營運單位應：

1) 按照已制定的防護策略，以近實時的方式，執(zhí)行并記錄關鍵系統(tǒng)內部及互連系統(tǒng)之間的數(shù)據(jù)流控制的授權分配；

2) 維護文檔以證明核設施營運單位已經(jīng)分析和處理了關鍵系統(tǒng)、安全邊界設備、邊界之間各類準許與禁止的數(shù)據(jù)流，以及所需的數(shù)據(jù)流的授權級別是根據(jù)防護策略確定的；

3) 采用受保護進程級別（如域型（domain type）強制機制）作為數(shù)據(jù)流控制決策基礎，實施并記錄強制數(shù)據(jù)流控制機制；

4) 實現(xiàn)近實時地檢測、威懾、預防和響應非法或未授權的數(shù)據(jù)流；

5) 防止加密數(shù)據(jù)繞過內容檢查機制；

6) 使用硬件機制實現(xiàn)數(shù)據(jù)的單向傳輸；

7) 按照變化的條件或運行考慮決定數(shù)據(jù)流控制方針，并基于該方針實行動態(tài)數(shù)據(jù)流控制；

8) 配置關鍵系統(tǒng)，禁止明文傳輸用戶證書，并在訪問控制方針中記錄該要求。

2.5 功能分離

核設施營運單位應：

1) 按照消除利益沖突以及確保個人角色與職責的獨立性的需要，建立劃分職責與分離功能的機制并文檔化；

2) 通過分配的訪問權限執(zhí)行關鍵系統(tǒng)功能分離機制；

3) 對關鍵系統(tǒng)不能支持角色劃分要求，個人需要承擔關鍵系統(tǒng)中全部角色的情況，為加強審計，選擇替代控制措施并記錄選擇這些替代控制措施與對策的理由；

4) 將網(wǎng)絡安全功能限制于必要的最小數(shù)量用戶，以確保關鍵系統(tǒng)的安全。

2.6 最小權限

核設施營運單位應：

1) 為執(zhí)行特定任務分配給用戶一組所需的最具約束性的權利和權限或訪問；

2) 配置關鍵系統(tǒng)以強制分配給用戶一組所需的最具約束性的權利和權限或訪問；

3) 對關鍵系統(tǒng)不能支持區(qū)分權限的要求，個人需要承擔關鍵系統(tǒng)中全部角色的情況，為加強審計，選擇替代控制措施并記錄選擇這些替代控制措施與對策的理由。

2.7 登錄失敗處理

核設施營運單位應確保：

1) 執(zhí)行了網(wǎng)絡安全控制，實現(xiàn)對用戶無效訪問嘗試次數(shù)的限制。訪問控制方針文件應包括此項要求。在特定時間段內，關鍵系統(tǒng)對無效訪問嘗試次數(shù)的要求可能會不同，例如：在一小時內超過三次無效登錄嘗試時，該賬戶被自動鎖定。核設施營運單位的系統(tǒng)自動執(zhí)行鎖定模式；

2) 訪問控制方針要求，達到最大登錄失敗次數(shù)的賬戶僅可由非用戶本人的授權個人解鎖，另外，可采用包含身份鑒別的其他認證技術或機制的替代方案；

3) 對關鍵系統(tǒng)不能支持賬戶/節(jié)點鎖定或延遲登錄功能時，應選擇替代控制措施或對策，并在訪問控制方針中記錄選擇該替代控制措施與對策的理由和詳細說明。如果由于會對性能、安全性或可靠性產(chǎn)生重大的不利影響，關鍵系統(tǒng)不能支持賬戶/節(jié)點鎖定或延遲登錄功能時，核設施營運單位可以采用包含以下要點的控制措施或對策：

(1) 對登錄失敗的實時日志和記錄；

(2) 當?shù)卿浭〈螖?shù)達到上限時，向對關鍵系統(tǒng)具有網(wǎng)絡安全專業(yè)知識的指定人員實時報警。

2.8 系統(tǒng)使用通告

核設施營運單位應確保：

1) 在允許訪問系統(tǒng)前顯示“系統(tǒng)使用通告”的信息，用于通知潛在用戶以下幾點：

(1) 用戶正在訪問一個限制訪問的系統(tǒng)；

(2) 對系統(tǒng)的使用過程將接受監(jiān)控、記錄以及審計；

(3) 禁止對關鍵系統(tǒng)未經(jīng)授權的使用，如果違反將追究相關責任。使用關鍵系統(tǒng)即表示認可對相關操作進行監(jiān)控和記錄。

2) 關鍵系統(tǒng)使用通告信息應在使用前得到批準；

3) 在用戶明確采取登錄行為前，應持續(xù)在屏幕上顯示關鍵系統(tǒng)使用通告信息；

4) 對不支持系統(tǒng)使用通告功能的關鍵系統(tǒng)，使用實物警示。

2.9 登錄歷史通告

核設施營運單位應：

1) 配置關鍵系統(tǒng)使得在成功登錄系統(tǒng)后，顯示上一次登錄的時間和日期以及在此期間發(fā)生的登錄失敗嘗試次數(shù)；

2) 要求所有終端用戶向網(wǎng)絡安全實施計劃負責人報告任何可疑活動。

2.10 會話鎖定

核設施營運單位應配置關鍵系統(tǒng)：

1) 啟用會話鎖定[在會話休止30分鐘內]；

2) 為用戶提供直接啟用會話鎖定的機制；

3) 保持關鍵系統(tǒng)的會話鎖定狀態(tài)，直至用戶通過身份識別和認證過程重新建立訪問；

4) 對關鍵系統(tǒng)不能支持會話鎖定時，應選擇替代控制措施或對策，并記錄選擇該替代控制措施與對策的理由，提供以下功能：

(1) 物理限制對關鍵系統(tǒng)的訪問；

(2) 通過監(jiān)視和記錄對關鍵系統(tǒng)的物理訪問以及時探測和響應入侵行為；

(3) 啟用審計和確認措施（如保衛(wèi)人員巡視、定期監(jiān)測篡改指示封記），發(fā)現(xiàn)對關鍵系統(tǒng)的未授權訪問及修改；

(4) 確保每一個訪問關鍵系統(tǒng)的個人都是有資質的；

(5) 確保這些個人都是可信賴和可靠的。

2.11 監(jiān)督和檢查/訪問控制

核設施營運單位應：

1) 記錄、監(jiān)督和檢查與訪問控制執(zhí)行和使用相關的用戶活動；

2) 在關鍵系統(tǒng)內采用自動化機制來支持和促進對用戶行為的檢查。

2.12 準許未經(jīng)身份認證或授權的行為

核設施營運單位應：

1) 識別并記錄在正常和緊急情況下未經(jīng)身份認證或授權的特定用戶可能對關鍵系統(tǒng)執(zhí)行的行為；

2) 準許未經(jīng)身份認證或授權行為僅限于采用與法規(guī)要求一致的方式，對核設施運行安全、核安保和核應急準備（SSEP）功能無不利影響的，用于完成任務目的所必要范圍內。

2.13 自動標識

核設施營運單位應：

1) 為防止泄露敏感信息，參照相關方針和規(guī)程確定和執(zhí)行標準命名規(guī)范；

2) 確保配置了關鍵系統(tǒng)，采用標準的命名標識電子文件和紙質文件。

2.14 自動標簽

核設施營運單位應對存儲中、進程中和傳輸中的電子文件和紙質文件添加標簽。

2.15 網(wǎng)絡接入控制

核設施營運單位應通過采用介質訪問控制地址綁定、物理或電氣隔離、靜態(tài)表單、加密或監(jiān)控等后果減輕技術保護關鍵系統(tǒng)，并記錄。

2.16 開放/非安全協(xié)議限制

核設施營運單位應：

1) 當采用的通信協(xié)議缺乏網(wǎng)絡安全控制時，應實施額外的保護網(wǎng)絡與總線通信免受非授權訪問的保護措施，并記錄；

2) 除非傳輸雙方在共同的區(qū)域邊界內，否則禁止啟用通信協(xié)議；

3) 禁止上述協(xié)議發(fā)出可將關鍵系統(tǒng)從一個較高網(wǎng)絡安全狀態(tài)改變到較低網(wǎng)絡安全狀態(tài)的指令。

2.17 無線接入限制

核設施營運單位應：

1) 僅允許通過邊界網(wǎng)絡安全設備進行無線接入，并將無線接入視作為網(wǎng)絡安全邊界以外的連接方式；

2) 對于安全相關功能及對安全重要功能的關鍵系統(tǒng)，禁止使用無線技術；

3) 關閉不使用的無線功能；

4) 建立無線技術的使用限制和執(zhí)行導則；

5) 記錄、認證、授權、監(jiān)視和控制對關鍵系統(tǒng)的無線接入，并確保這些無線接入限制符合國家對無線網(wǎng)絡使用的防御策略和防御模型；

6)對非授權無線接入點進行掃描[至少每周進行一次]，并禁用發(fā)現(xiàn)的非授權無線接入點。

2.18 非安全與惡意連接

核設施營運單位應在部署關鍵系統(tǒng)期間與關鍵系統(tǒng)發(fā)生變更或修改時，和[每月至少一次],確保關鍵系統(tǒng)不存在非安全與惡意連接（如與供應商連接和調制解調器）。

2.19 便攜式和可移動設備接入控制

核設施營運單位應：

1） 建立便攜式和可移動設備的使用限制方法和執(zhí)行導則并文檔化；

2） 對接入關鍵系統(tǒng)的便攜式和可移動設備進行授權、監(jiān)視和控制；

3） 確保與所支持的關鍵系統(tǒng)在同一級別上維護便攜式和可移動設備的安全性和完整性，并文檔化；

4） 確保便攜式和可移動設備僅用于單一網(wǎng)絡安全等級，不在不同網(wǎng)絡安全等級之間共用，并文檔化。

2.20 專用協(xié)議透明度

在專用協(xié)議缺乏透明度時（如由于協(xié)議是專用的，系統(tǒng)無法檢測攻擊），核設施營運單位應確保執(zhí)行替代控制措施或對策，保護關鍵系統(tǒng)免受設計基準威脅所規(guī)定的網(wǎng)絡攻擊。

2.21 第三方產(chǎn)品使用及控制

核設施營運單位應確保對下述情況采取替代控制措施或對策，應對由于缺乏第三方產(chǎn)品提供的安全功能而引入風險的脆弱性：

(1) 由于供應商許可證和服務協(xié)議的原因不允許第三方網(wǎng)絡安全方案；

(2) 未經(jīng)供應商認可或允許安裝第三方應用程序，發(fā)生缺少服務支持的情況。

2.22 外部系統(tǒng)的使用

核設施營運單位應：

1) 確保不能從較高的網(wǎng)絡安全等級，例如三級與四級，訪問外部系統(tǒng)；

2) 禁止外部系統(tǒng)訪問網(wǎng)絡安全等級為三級與四級的關鍵系統(tǒng)；

3) 除非核設施營運單位核實了外部系統(tǒng)采取了等同的網(wǎng)絡安全措施，否則禁止用戶使用外部系統(tǒng)訪問關鍵系統(tǒng)或處理、存儲及傳輸受控的信息。

2.23 公開信息

核設施營運單位應：

1) 指定被授權的個人負責在核設施營運單位專供公眾訪問的系統(tǒng)中發(fā)布信息；

2) 對被授權的個人進行培訓，以確保發(fā)布的公開信息不包含會對SSEP功能產(chǎn)生不利影響或有助于一個敵手發(fā)起一次攻擊的內容；

3) 確保不對外發(fā)布會對SSEP功能產(chǎn)生不利影響或有助于一個敵手發(fā)起一次攻擊的信息。

3. 審計和問責

3.1 審計和問責方針和規(guī)程

核設施營運單位應通過一個獨立部門制定、分發(fā)和[每年]進行審核與更新以下幾項：

1)一項文檔化的方針，包括目的、適用范圍、角色、職責和內部協(xié)調的審計和問責；

2) 一份文檔化的規(guī)程，促進執(zhí)行審計和問責方針及相關審計和問責網(wǎng)絡安全控制。

3.2 審計事項

核設施營運單位應：

1) 確定并文檔化需要審計的SSEP功能相關的關鍵系統(tǒng)事項；

2) 確定可審計事件清單和每個識別到的可審計事件的審計頻度；

3) 至少審計所有關鍵系統(tǒng)鏈接、用戶登錄/退出、配置/軟件/固件的變更、審計設置變更、訪問權限、權限指令以及任何關鍵系統(tǒng)的網(wǎng)絡安全功能修改；

4) 當關鍵系統(tǒng)不能支持審計記錄自動生成機制或采用非自動審計機制和規(guī)程時，選擇替代控制措施或對策并記錄選擇這些替代控制措施與對策的理由；

5) 檢查并更新已確定的可審計事件清單 [每年至少一次]；

6) 在關鍵系統(tǒng)的可審計事件清單中包含特權功能的執(zhí)行；

7) 防止關鍵系統(tǒng)重啟時清空審計事件記錄；

8) 協(xié)調各部門間的網(wǎng)絡安全審計職能，做好可審計事件的選取工作；

9) 配置所有關鍵系統(tǒng)，保證可審計事件足以支持網(wǎng)絡安全事故的事后調查；

10) 基于當前的威脅信息和核安保導則 HABD-004/01第10.1.2節(jié)中描述的有效性分析結果調整關鍵系統(tǒng)的待審計事件。

3.3 審計記錄內容

核設施營運單位應：

1) 確保關鍵系統(tǒng)產(chǎn)生的審計記錄包含充分的信息以確定：發(fā)生了什么事件、發(fā)生在什么時間、發(fā)生在什么地點、事件發(fā)生原因及事件結果；

2) 確保關鍵系統(tǒng)在其審計記錄中對不同類型、位置和科目的審計事件提供附加的、更具體的信息的能力；

3) 對整個關鍵系統(tǒng)的單一部件產(chǎn)生的審計記錄內容實施集中結構化管理，以防止關鍵系統(tǒng)的審計記錄被修改或銷毀。

3.4 審計記錄存儲容量

核設施營運單位應合理分配審計記錄存儲容量，滿足網(wǎng)絡安全法對審計記錄保存的要求，并配置審計功能，降低發(fā)生存儲空間不足的可能性。

3.5 審計過程失敗響應

核設施營運單位應確保：

1) 當分配給審計記錄的存儲量達到最大存儲容量的預定百分比時[基于存儲空間消耗速率、單位的資源狀況及響應時間]，關鍵系統(tǒng)應發(fā)出警告并記錄；

2) 在關鍵系統(tǒng)不支持審計過程失敗響應的情況下，記錄執(zhí)行替代網(wǎng)絡安全控制措施的合理性和細節(jié)；

3) 核設施營運單位應對審計失敗作出響應，包括使用外部系統(tǒng)提供上述能力；

4) 當對關鍵系統(tǒng)或網(wǎng)絡安全邊界設備的審計處理能力失效時，應采取以下措施：

(1) 在發(fā)生審計處理失敗事件時，向核設施營運單位指定的負責人發(fā)送警告；

(2) 審計失敗被認定為一種關鍵系統(tǒng)或網(wǎng)絡安全邊界設備的故障，核設施營運單位應依據(jù)技術規(guī)范采取處理措施；

(3) 關鍵系統(tǒng)審計失敗時采用以下措施：

a)關閉關鍵系統(tǒng)；

b)為防止對SSEP功能產(chǎn)生不利影響，必要時轉換采用冗余關鍵系統(tǒng)；

c)只重寫最陳舊的審計記錄；

d)停止產(chǎn)生審計記錄。

3.6 審計記錄的檢查、分析和報告

核設施營運單位應：

1) 檢查并分析關鍵系統(tǒng)的審計記錄[每30天至少進行一次]，找出不恰當或不尋常的活動，并就發(fā)現(xiàn)的問題向核設施營運單位指定的負責人進行報告；

2) 當根據(jù)核設施營運單位指定的可靠信息源提供的針對核設施營運單位SSEP功能的威脅或風險發(fā)生變化時，應調整關鍵系統(tǒng)中的審計檢查、分析和報告級別；

3) 采用關鍵系統(tǒng)的自動機制將審計記錄的審查、分析和報告整合到核設施營運單位對可疑活動調查和應對過程中。

3.7 審計記錄精簡和報告生成

核設施營運單位應配置和部署所有的關鍵系統(tǒng)，實現(xiàn)：

1) 提供關鍵系統(tǒng)審計記錄的精簡和報告生成能力；

2) 根據(jù)事件選擇準則，提供對重要事件自動處理審計記錄的功能。

對關鍵系統(tǒng)不支持提供審計記錄精簡和報告生成能力的情況，核設施營運單位應記錄通過其他系統(tǒng)提供上述能力的替代補充網(wǎng)絡安全控制措施的理由和細節(jié)。

3.8 時間戳

核設施營運單位的關鍵系統(tǒng)應使用與關鍵系統(tǒng)同等級或更高保護等級的時鐘源或一個內部系統(tǒng)的時鐘，為審計記錄提供時間戳，核設施營運單位應同步所有關鍵系統(tǒng)的時鐘。

核設施營運單位應通過實物保護網(wǎng)絡中存在的與關鍵系統(tǒng)同等或更高網(wǎng)絡安全等級的專用時鐘源，同步所有關鍵系統(tǒng)的時間。這個專用時鐘源可以直接或通過簡單網(wǎng)絡時間協(xié)議(SNTP)與可信賴的密鑰管理進程連接。

當關鍵系統(tǒng)不支持時間同步時，核設施營運單位只能采用不引入網(wǎng)絡攻擊脆弱性或共模故障的時間同步方法，實行替代控制，管理潛在的網(wǎng)絡安全風險。

3.9 審計信息保護

核設施營運單位應：

1) 依照符合產(chǎn)生審計信息關鍵系統(tǒng)的要求，防止審計信息與審計工具受到未經(jīng)授權的訪問、修改和刪除；

2) 確保審計信息的保護等級與產(chǎn)生審計信息的設備處于同一等級。

3.10 抗抵賴性

核設施營運單位應保護關鍵系統(tǒng)及審計記錄，防止個人否認其執(zhí)行過的特定行為。

3.11 審計記錄保存

為支持網(wǎng)絡安全事故后調查，滿足監(jiān)管部門以及核設施營運單位的記錄保存要求，核設施營運單位應依照訪問授權程序對記錄保存的要求保存審計記錄。

3.12 審計記錄生成

核設施營運單位的網(wǎng)絡安全架構應提供：

1) 對關鍵系統(tǒng)可審計事件的審計記錄生成能力；

2) 授權用戶對關鍵系統(tǒng)特定部件選擇可審計事件并生成審計記錄的能力；

3) 對關鍵系統(tǒng)選擇的可審計事件清單的審計記錄；

4) 將關鍵系統(tǒng)內多部件的審計記錄匯編到的整個場址（邏輯或物理）審計跟蹤的能力。該場址審計跟蹤中各記錄時間戳之間的關聯(lián)性應在核設施運營單位規(guī)定的可容忍范圍內。

4. 關鍵系統(tǒng)及通信保護

4.1 關鍵系統(tǒng)及通信保護方針和規(guī)程:

核設施營運單位應制定、分發(fā)和[每年]檢查與更新：

1) 一項文檔化的方針，包括目的、適用范圍、角色、職責和內部協(xié)調的關鍵系統(tǒng)和通信保護；

2) 一份文檔化的網(wǎng)絡安全控制規(guī)程，促進執(zhí)行關鍵系統(tǒng)和通信保護方針及相關關鍵系統(tǒng)和通信保護。

4.2 應用分區(qū)和網(wǎng)絡安全功能隔離

核設施營運單位應：

1) 配置關鍵系統(tǒng)，將應用分為用戶功能（包括用戶界面服務）和關鍵系統(tǒng)管理功能；

2) 配置關鍵系統(tǒng)，通過[分區(qū)、分域等]包括訪問控制以及執(zhí)行網(wǎng)絡安全功能的硬件、軟件及固件的集成等手段，完成將網(wǎng)絡安全功能與非網(wǎng)絡安全功能的隔離；

3) 配置關鍵系統(tǒng)，采用底層硬件劃分機制來促進網(wǎng)絡安全功能的隔離；

4) 配置關鍵系統(tǒng)，將重要的網(wǎng)絡安全功能（如強制訪問控制功能和數(shù)據(jù)流控制功能）與非網(wǎng)絡安全功能和其他網(wǎng)絡安全功能隔離；

5) 配置關鍵系統(tǒng)，使得網(wǎng)絡安全功能隔離邊界內的非網(wǎng)絡安全功能的數(shù)量最小化；

6) 配置關鍵系統(tǒng)的各網(wǎng)絡安全功能為獨立模塊，避免各模塊之間的不必要交互；

7) 以分層結構配置關鍵系統(tǒng)的網(wǎng)絡安全功能，使設計的各層間的交互最小化，避免低層對高層的功能或正確性的依賴；

8) 當關鍵系統(tǒng)不支持網(wǎng)絡安全功能隔離時，核設施營運單位應采取替代網(wǎng)絡安全控制，記錄選擇替代控制或對策的理由，并采用以下措施：

(1) 物理手段限制對關鍵系統(tǒng)的訪問；

(2) 監(jiān)測并記錄關鍵系統(tǒng)的物理訪問，及時發(fā)現(xiàn)和響應入侵行為；

(3) 啟用審計/確認措施（如保衛(wèi)人員巡視、防篡改封記的定期監(jiān)視），檢測對關鍵系統(tǒng)的未授權訪問和修改；

(4) 確保訪問關鍵系統(tǒng)的個人具備資質；

(5) 確保訪問關鍵系統(tǒng)的個人是可信賴和可靠的。

4.3 資源共享

核設施營運單位應：

1) 配置關鍵系統(tǒng)，防止通過共享系統(tǒng)資源發(fā)生非授權或無意識的信息傳輸；

2) 使用物理隔離網(wǎng)絡設備，實現(xiàn)并維護第三級和第四級之間的邏輯的隔離以及與其他各級之間的邏輯隔離。

4.4 拒絕服務防護

核設施營運單位應：

1) 配置關鍵系統(tǒng)，防止或限制拒絕服務攻擊造成的影響；

2) 配置關鍵系統(tǒng)，限制用戶對其他關鍵系統(tǒng)或網(wǎng)絡發(fā)起拒絕服務攻擊的能力；

3) 配置關鍵系統(tǒng)，管理超額容量、帶寬或其他冗余性，限制泛洪攻擊和飽和拒絕服務攻擊造成的影響。

4.5 資源優(yōu)先級

核設施營運單位應配置關鍵系統(tǒng)通過優(yōu)先級限制資源的使用，防止低優(yōu)先級進程推遲或干擾高優(yōu)先級服務進程。

4.6 傳輸完整性

核設施營運單位應：

1) 配置關鍵系統(tǒng)，保護傳輸信息的完整性；

2) 除非采用了替代物理措施，否則應啟用加密機制，識別傳輸和接收過程中發(fā)生的信息篡改；

3) 采取以下方法執(zhí)行防止中間人（MITM）攻擊的機制：

(1) 介質訪問控制地址綁定——核設施營運單位應通過地址綁定設備和端口，防范MITM攻擊和惡意設備連接到網(wǎng)絡中；

(2) 網(wǎng)絡接入控制——核設施營運單位應通過網(wǎng)絡接入控制，防護MITM攻擊和惡意設備連接到網(wǎng)絡中。

4) 實施監(jiān)控，檢測MITM和地址解析協(xié)議中毒；

5) 當關鍵系統(tǒng)不支持實現(xiàn)傳輸信息完整性時，核設施營運單位應執(zhí)行替代控制，記錄該替代控制或對策的理由，并采用以下措施：

(1) 物理手段限制對關鍵系統(tǒng)的訪問；

(2) 監(jiān)測并記錄關鍵系統(tǒng)的物理訪問，及時發(fā)現(xiàn)和響應入侵行為；

(3) 啟用審計/確認措施（如保衛(wèi)人員巡視、防篡改封記的定期監(jiān)視），檢測對關鍵系統(tǒng)的未授權訪問和修改；

(4) 確保訪問關鍵系統(tǒng)的個人具備資質；

(5) 確保訪問關鍵系統(tǒng)的個人是可信賴和可靠的。

4.7 傳輸機密性

核設施營運單位應：

1) 配置關鍵系統(tǒng),保護傳輸信息的機密性；

2) 除非采用了替代物理措施，否則應啟用加密機制，識別傳輸和接收過程中發(fā)生未經(jīng)授權的信息披露；

3) 當關鍵系統(tǒng)不能支持內部傳輸信息機密性能力時，核設施營運單位應執(zhí)行替代控制，包括虛擬專用網(wǎng)（VPN）,并記錄替代控制和對策的理由，或采用全部以下措施：

(1) 物理手段限制對關鍵系統(tǒng)的訪問；

(2) 監(jiān)測并記錄關鍵系統(tǒng)的物理訪問，及時發(fā)現(xiàn)和響應入侵行為；

(3) 啟用審計/確認措施（如保衛(wèi)人員巡視、防篡改封記的定期監(jiān)視），檢測對關鍵系統(tǒng)的未授權訪問和修改；

(4) 確保訪問關鍵系統(tǒng)的個人具備資質；

(5) 確保訪問關鍵系統(tǒng)的個人是可信賴和可靠的。

4.8 可信任路徑

核設施營運單位應配置關鍵系統(tǒng)，在用戶與關鍵系統(tǒng)網(wǎng)絡安全功能之間使用可信通信路徑，至少包含驗證和再驗證。

4.9 密鑰建立和管理

當需要和依照國家密碼主管部門關于密碼管理的相關規(guī)定，在關鍵系統(tǒng)中使用密碼時，核設施營運單位應盡可能使用有支持程序的自動化機制或手動程序對密碼算法和密鑰進行管理。

4.10 啟用加密

核設施營運單位應遵照國家密碼主管部門關于密碼管理的相關規(guī)定配置關鍵系統(tǒng)，執(zhí)行加密機制。

4.11 非授權遠程激活服務

核設施營運單位應：

1) 配置關鍵系統(tǒng)，禁止協(xié)作計算機制的遠程激活，并為本地用戶提供明確的警示；

2) 配置關鍵系統(tǒng)，采用支持易于使用的模式，提供對攝像頭和麥克風的物理隔斷，除非這些技術是為了網(wǎng)絡安全目的用于控制和監(jiān)視關鍵系統(tǒng)。

4.12 網(wǎng)絡安全參數(shù)傳輸

核設施營運單位應配置關鍵系統(tǒng)，使網(wǎng)絡安全參數(shù)與在關鍵系統(tǒng)之間交換的信息相關聯(lián)。

4.13 公鑰基礎設施證書

核設施營運單位在證書方針的指導下發(fā)布公鑰證書，或在核設施營運單位批準的供應商提供的證書方針下獲取公鑰證書。

4.14 移動代碼

核設施營運單位應：

1) 基于惡意地使用移動代碼可能對關鍵系統(tǒng)引起危害，建立對移動代碼技術的使用限制和執(zhí)行導則；

2)授權、監(jiān)視和控制移動代碼在關鍵系統(tǒng)內的使用。

4.15 安全的名稱/地址解析服務（驗證/可信源）

核設施營運單位應：

1) 配置提供名稱/地址解析的系統(tǒng)，與所反饋的解析查詢驗證數(shù)據(jù)一起提供附加數(shù)據(jù)源和數(shù)據(jù)完整性信息；

2) 配置為關鍵系統(tǒng)提供名稱/地址解析的系統(tǒng)，在該系統(tǒng)作為分布式層次化命名空間的一部分使用時，提供表明子空間安全狀態(tài)的手段，如果子空間支持安全解析服務，使得能夠核實父空間與子空間域之間的信任鏈。

4.16 安全的名稱/地址解析服務（遞歸方式或緩存解析）

核設施營運單位應：

1) 配置為關鍵系統(tǒng)提供名稱/地址解析服務的系統(tǒng)，當收到來自驗證源的信息反饋時，執(zhí)行數(shù)據(jù)源的驗證和數(shù)據(jù)完整性的核實；

2) 配置關鍵系統(tǒng)，使得在收到數(shù)據(jù)時，無論關鍵系統(tǒng)是否明確請求此種服務，在解析反饋中執(zhí)行數(shù)據(jù)源驗證和數(shù)據(jù)完整性核實。

4.17 架構和提供名稱/地址解析服務

核設施營運單位應，為容錯和分離服務（即執(zhí)行角色分離）的邏輯結構，配置集中提供名稱/地址解析服務的系統(tǒng)。

4.18 會話真實性

核設施營運單位應配置關鍵系統(tǒng)，提供保護通信會話真實性的機制。

4.19 瘦節(jié)點

核設施營運單位應配置關鍵系統(tǒng)和控制設備，采用最少功能和數(shù)據(jù)存儲量的處理部件。

4.20 剩余信息機密性

核設施營運單位應配置關鍵系統(tǒng)以保護剩余信息的機密性。

4.21 多樣性/分散性

核設施營運單位應在關鍵系統(tǒng)的使用中，采用多樣性的技術。

4.22 已知狀態(tài)下的失效

核設施營運單位應：

1) 關鍵系統(tǒng)失效在已知狀況，確保SSEP功能不因關鍵系統(tǒng)失效受到不利影響；

2) 在關鍵系統(tǒng)或關鍵系統(tǒng)部件失效時，防止喪失機密性、完整性和可用性。

5. 身份識別和認證

5.1 身份識別和認證方針和規(guī)程

核設施營運單位應制定、分發(fā)和[每年]檢查與更新：

1) 一項文檔化的身份識別和認證的方針，包括目的、適用范圍、角色、職責和內部協(xié)調，使用識別因子的集合或證書，積極識別潛在的網(wǎng)絡用戶、主機、應用程序、服務和資源；

2) 一份文檔化的規(guī)程，用以促進執(zhí)行身份識別和認證方針及相關的身份識別和認證控制。

身份識別和認證方針和規(guī)程為管理用戶身份識別和關鍵系統(tǒng)認證提供指導。其中包含以下：

1) 為每一個用戶和代表用戶的進程提供唯一標識；

2) 核實每一個用戶和代表用戶的進程的標識；

3) 由適當?shù)氖跈啻慝@得向用戶分發(fā)標識的授權；

4) 確保用戶標識發(fā)放到預期的當事人；

5) 禁用超過最大不活躍時限（30天）的用戶標識；

6) 用戶訪問需求終止時，立即禁用用戶標識；

7) 歸檔用戶標識；

8) 規(guī)定初始認證內容；

9) 建立行政規(guī)程，管理初始認證器的分發(fā)，丟失、失效或損壞的認證器，以及注銷的認證器；

10) 安裝控制系統(tǒng)后，立即更改默認的認證器；

11) 更改/更新認證器[每年]。

5.2 用戶標識和認證

核設施營運單位應：

1) 實現(xiàn)身份識別和認證技術，唯一地標識和認證個人或代表關鍵系統(tǒng)用戶的進程，確保關鍵系統(tǒng)、網(wǎng)絡安全邊界設備、運維環(huán)境的物理控制、用戶和關鍵系統(tǒng)的交互是可被唯一標識和認證的，同時代表用戶的進程也可同樣被唯一認證和識別；

2) 確保認證技術使用了強多因子認證方式，該方式采取保護進程的級別；

3) 當關鍵系統(tǒng)不支持用戶標識和身份認證時，應選擇替代控制和記錄選擇該替代控制的理由，并采用以下措施：

(1) 物理手段限制對關鍵系統(tǒng)的訪問；

(2) 監(jiān)測并記錄關鍵系統(tǒng)的物理訪問，及時發(fā)現(xiàn)和響應入侵行為；

(3) 啟用審計/確認措施（如保衛(wèi)人員巡視、防篡改封記的定期監(jiān)視），檢測對關鍵系統(tǒng)的未授權訪問和修改；

(4) 確保訪問關鍵系統(tǒng)的個人具備資質；

(5) 確保訪問關鍵系統(tǒng)的個人是可信賴和可靠的。

4) 執(zhí)行基于域的安全認證，以及：

(1) 在計劃提供服務的網(wǎng)絡安全等級內維護域控制器；

(2) 以物理和邏輯的方式保護域控制器，防止非授權訪問和篡改；

(3) 禁止處于不同網(wǎng)絡安全級別的域之間存在域信任關系；

(4) 禁止域認證協(xié)議跨越域邊界傳輸；

(5) 執(zhí)行基于角色的訪問控制，盡可能將用戶權限限制于完成他們任務所需的范圍。

5) 未啟用基于域的認證的情況下，核設施營運單位應：

(1) 記錄并證明未啟用基于域的安全認證的理由；

(2) 條件可行的情況下執(zhí)行本地認證；

(3) 在應用支持的場景下，執(zhí)行最強可能的挑戰(zhàn)—應答認證機制；

(4) 執(zhí)行基于角色的訪問控制，盡可能將用戶權限限制于完成他們任務所需的范圍。

5.3 口令要求

核設施營運單位應確?？诹钍褂脮r滿足：

1) 在關鍵系統(tǒng)的能力內，口令的長度、強度和復雜度，應平衡網(wǎng)絡安全要求和訪問操作易用性；

2) 口令的長度和復雜度上應與所需的網(wǎng)絡安全要求一致；

3) 定期更換口令[根據(jù)系統(tǒng)類型的時間要求，例如工作站每30天一次，要害區(qū)的關鍵系統(tǒng)每3個月一次]；

4) 口令不能在字典中找到，或包含可預測的數(shù)字或字母序列；

5) 主口令副本應儲存在一個限制訪問的安全位置；

6) 僅授權人員可修改主口令。

5.4 非認證的人機交互安全

核設施營運單位應：

1) 在由于操作需要不支持關鍵系統(tǒng)人機交互（HMI）認證的情況，確保存在充分的物理安全控制，對操作者進行認證、適當?shù)淖R別和監(jiān)視，使得能夠審計和記錄操作者的行為；

2) 在維護非授權的人機交互(NHMI)安全性的同時，控制NHMI的訪問，使得不妨害HMI，確保僅授權人員可訪問NHMI；

3) 驗證SSEP功能未受到身份認證、會話鎖定或會話終止控制的不利影響；

4) 對NHMI執(zhí)行審計，以確保經(jīng)授權和有資質的人員記錄和監(jiān)視所有的操作者的活動，并為滿足審計要求維護歷史記錄。

5.5 設備標識和認證

核設施營運單位應：

1) 建立設備與關鍵系統(tǒng)的連接前，執(zhí)行和記錄標識和認證該設備(測試器)的技術；

2) 當關鍵系統(tǒng)不支持設備標識和認證時（如對串行設備），應選擇替代控制和記錄選擇該替代控制的理由，并采用以下措施：

(1) 物理手段限制對關鍵系統(tǒng)的訪問；

(2) 監(jiān)測并記錄關鍵系統(tǒng)的物理訪問，及時發(fā)現(xiàn)和響應入侵行為；

(3) 啟用審計/確認措施（如保衛(wèi)人員巡視、防篡改封記的定期監(jiān)視），檢測對關鍵系統(tǒng)的未授權訪問和修改；

(4) 確保訪問關鍵系統(tǒng)的個人具備資質；

(5) 確保訪問關鍵系統(tǒng)的個人是可信賴和可靠的。

5.6 用戶標識管理

核設施營運單位應實現(xiàn)以下幾點，以管理和記錄用戶標識：

1) 為每一位用戶提供唯一標識；

2) 核實每一位用戶的標識；

3) 從單位官方獲得向用戶分發(fā)標識的授權；

4) 確保用戶標識發(fā)放到預期的當事人；

5) 禁用超過最大不活躍時限（30天）的用戶標識；

6) 依照訪問授權規(guī)程規(guī)定的記錄保存要求一致的方式，對用戶標識進行歸檔。

5.7 認證器管理

核設施營運單位應采用下述所有方法，管理關鍵系統(tǒng)認證器：

1) 規(guī)定初始認證器內容，如規(guī)定口令長度和復雜度要求、令牌、密鑰以及其他認證手段；

2) 建立行政規(guī)程，管理初始認證器的分發(fā)，丟失、失效或損壞的認證器，以及吊銷的認證器；

3) 安裝控制系統(tǒng)后，立即更改默認的認證器；

4) 更改/更新認證器[每年]。

5.8 認證器反饋

核設施營運單位應：

1) 確保關鍵系統(tǒng)隱藏認證過程中的認證反饋信息，防止可能被非授權用戶利用和使用；

2) 確保關鍵系統(tǒng)和關鍵系統(tǒng)的反饋不提供允許非授權用戶破壞認證機制的信息。

5.9 加密模塊的認證

核設施營運單位應確保關鍵系統(tǒng)的認證加密模塊滿足(國家保密局對密碼模塊的)相關要求。

6. 系統(tǒng)加固

6.1 刪除不必要的服務和程序

核設施營運單位應為與關鍵系統(tǒng)相關聯(lián)的每一個計算機系統(tǒng)記錄所有必需的應用程序、專用模塊、系統(tǒng)服務、腳本、配置文件、數(shù)據(jù)庫和其他軟件以及相應配置，包括版本或補丁級別。

核設施營運單位維護一份關鍵系統(tǒng)需要的服務列表。該列表包括正常和應急操作所要求的所有必要的端口和服務。該列表還包括一份解釋或對照檢索，以說明每個服務對操作的必要性。僅允許操作必需的服務和程序。

核設施營運單位應驗證并記錄依照核安保導則 HABD-004/03第4.2節(jié)脆弱性修復網(wǎng)絡安全控制的要求對所有關鍵系統(tǒng)進行的補丁修復或危害減輕操作。

為減輕與產(chǎn)品相關的所有脆弱性并維持已建立的網(wǎng)絡安全等級，核設施營運單位應記錄軟件和服務更新或替代方法相關的修復周期。

核設施營運單位應記錄關鍵系統(tǒng)進化過程中操作系統(tǒng)和軟件補丁以便追溯，并核實未重新安裝或重新激活額外的服務。

在關鍵系統(tǒng)融合到生產(chǎn)環(huán)境前，核設施營運單位應刪除或禁用對運行和維護關鍵系統(tǒng)不需要的軟件部件。

核設施營運單位應記錄刪除或禁用的部件。需要刪除或禁用的軟件包括，但不限于：

1) 未交付網(wǎng)絡設備的設備驅動；

2) 未使用的外設的設備驅動；

3) 消息服務（如MSN、AOLIM等）；

4) 未使用的服務的服務器端或客戶端；

5) 除開發(fā)用工作站和服務器外，全部用戶工作站和服務器的軟件編譯器；

6) 在控制系統(tǒng)中未使用的語言軟件編譯器；

7) 未使用的網(wǎng)絡和通信協(xié)議；

8) 未使用的管理工具、診斷工具、網(wǎng)絡管理和系統(tǒng)管理功能；

9) 文件備份、數(shù)據(jù)庫和僅系統(tǒng)開發(fā)中使用的應用程序；

10) 所有未使用的數(shù)據(jù)和配置文件；

11) 例程和腳本；

12) 未使用的文件處理工具（如Microsoft Word、Excel、Power Point、Adobe Acrobat、OpenOffice等）；

13) 未使用的可移動介質支持；

14) 游戲。

6.2 主機入侵檢測系統(tǒng)

核設施營運單位應建立、實施和記錄下述要求：

1) 配置主機入侵檢測系統(tǒng)（HIDS）以使系統(tǒng)可以檢測設計基準威脅所規(guī)定的網(wǎng)絡攻擊，包括：屬性（如靜態(tài)文件名稱、動態(tài)文件名稱模板）系統(tǒng)和用戶賬戶、未授權代碼執(zhí)行、主機使用記錄和進程許可；

2) 配置HIDS，記錄系統(tǒng)和用戶賬戶的連接，使得在發(fā)生異常情況會向用戶或網(wǎng)絡安全人員報警；

3) 配置HIDS，使其不會對關鍵系統(tǒng)的SSEP功能產(chǎn)生不利影響；

4) 配置安全日志存儲設備為追加模式，防止修改存儲設備中的記錄；

5) 當發(fā)現(xiàn)新的安全問題后，對HIDS進行規(guī)則更新和補丁升級，維持已建立的系統(tǒng)網(wǎng)絡安全級別；

6) 核設施營運單位應保護HIDS配置文件，確保僅授權人員方可訪問。

6.3 文件系統(tǒng)和操作系統(tǒng)權限變更

核設施營運單位應建立、實施、記錄以下要求：

1) 配置關鍵系統(tǒng)為最小權限、數(shù)據(jù)、指令、文件以及賬戶訪問；

2) 配置系統(tǒng)服務，以最小可能權限執(zhí)行該服務，并記錄相應配置；

3) 記錄對文件和功能訪問的變更或禁用；

4) 確認在發(fā)生修復或升級后，基線許可和網(wǎng)絡安全設置未被修改。

6.4 硬件配置

核設施營運單位應建立、實施、記錄以下要求：

1) 通過軟件或物理阻斷，禁用不需要的網(wǎng)絡、無線和通信端口和可移動介質驅動器或提供工程隔斷；

2) 通過口令保護BIOS免受未授權的修改；

3) 在對BIOS的口令保護在技術上不可行時，記錄緩解措施；

4) 記錄硬件配置；

5) 在合適的地方，使用網(wǎng)絡設備限制出入特定地點；

6) 如果設備被軟件禁用，允許系統(tǒng)管理員對設備進行重新啟用，并記錄相應配置；

7) 核實替代設備的配置等于或高于其原設備。

6.5 操作系統(tǒng)、應用程序安裝和第三方軟件更新

核設施營運單位應建立、執(zhí)行和記錄以下要求：

1) 補丁管理程序、更新進程以及負責安裝的個人；

2) [收到脆弱性信息的4小時內]發(fā)出影響關鍵系統(tǒng)的脆弱性通告；

3) 向授權人員通告升級補丁對網(wǎng)絡安全的影響；

4) 在執(zhí)行基線更新或替代前，進行授權；

5) 安裝后的關鍵系統(tǒng)補丁管理程序，包括：方針、規(guī)程和緩解策略相關的計劃（例如：關鍵系統(tǒng)供應商通知核設施營運單位不執(zhí)行發(fā)布的補?。?/p>

6) 測試補丁發(fā)布的支持等級。

核設施營運單位應建立、執(zhí)行并測試以下：

1) 在安裝到生產(chǎn)系統(tǒng)前，在非生產(chǎn)系統(tǒng)/設備上接收網(wǎng)絡安全更新，并予以測試和確認；

2) 所有對網(wǎng)絡安全有影響的更新。

核設施營運單位應確保非生產(chǎn)系統(tǒng)/設備驗證過的補丁準確復制到生產(chǎn)線的關鍵系統(tǒng)中。

7. 術語

網(wǎng)絡攻擊：系指對計算機和通信系統(tǒng)與網(wǎng)絡的物理或邏輯(即電子或數(shù)字)威脅的一種表現(xiàn)形式。威脅可能來自核設施內部或外部、或具有內部或外部的成分、以及出自惡意的或非惡意目的; 威脅可能包含物理或邏輯的形式、直接或間接的性質; 以及威脅可能對一個關鍵系統(tǒng)造成直接或間接的不利影響或后果。網(wǎng)絡攻擊包括企圖未經(jīng)授權訪問一個關鍵系統(tǒng)的服務、資源或信息; 企圖損害一個關鍵系統(tǒng)的完整性、可用性和機密性, 或企圖對一個核設施運行安全、核安?；驊睖蕚涔δ茉斐刹焕绊?。網(wǎng)絡攻擊可能以單一攻擊或任何組合攻擊的形式出現(xiàn)。

損壞：系指喪失數(shù)據(jù)或系統(tǒng)功能的保密性、完整性或可用性。

設計基準威脅：系指對可能試圖對核設施關鍵系統(tǒng)實施網(wǎng)絡攻擊惡意行為的潛在內部敵手和外部敵手的屬性和特征的描述。

關鍵系統(tǒng)：系指一個核設施內或核設施外基于數(shù)字技術的，執(zhí)行核設施運行安全，對核設施運行安全、核安保、核應急準備功能重要的系統(tǒng)或與其相關系統(tǒng)。關鍵系統(tǒng)包括但不限于工控系統(tǒng)、通信系統(tǒng)、網(wǎng)絡、場外通信，或支持系統(tǒng)；或者系統(tǒng)的一個子項或一個組成部分，可能包括或含有一個數(shù)字設備、通信設備，或支持設備等。

支持設備: 直接或間接支持核設施運行安全、對核設施運行安全、核安?；驊睖蕚涔δ苤匾脑O備, 以及如果受到損害, 該設備可能對上述功能造成不利影響。支持設備的例子包括, 但不限于用以操作、測試和維修的支持設備和部件。

支持系統(tǒng): 直接或間接支持核設施運行安全、對核設施運行安全、核安保或應急準備功能重要的系統(tǒng),以及如果受到損害, 該系統(tǒng)可能對上述功能造成不利影響。支持系統(tǒng)的例子包括, 但不限于供電、供暖、通風和空調、通訊、消防系統(tǒng)等。

縱深防御: 系指部署了多層網(wǎng)絡安全措施或方法的網(wǎng)絡安全方案, 用以防止一個部件或多個保護層的同時失效?？v深防御可以用多種方式實現(xiàn)。從網(wǎng)絡安全架構觀點出發(fā), 一種方式可以設置多層邊界保護關鍵系統(tǒng)免受到網(wǎng)絡攻擊。在采用此種方式后, 只有多種機理的保護層同時失效, 網(wǎng)絡攻擊才能進入并影響一個關鍵系統(tǒng)。因此, 縱深防御不僅使用多層邊界, 也執(zhí)行和維護一個有效的網(wǎng)絡安全實施計劃, 用于評估、保護、響應、防范、檢測和減輕對關鍵系統(tǒng)的攻擊, 并及時恢復功能。

安全域： 是為管理和實施保護措施的目的將關鍵系統(tǒng)進行分組的一種邏輯和物理管理模式。安全域的設置應：

1) 每個安全域均由對核設施的核設施運行安全、核安保和應急準備功能具有同樣或類似重要性的系統(tǒng)組成；

2) 同屬于一個安全域的關鍵系統(tǒng)對保護措施具有類似的要求，在確保安全的前提下，可建立 安全域內部通信可信區(qū)；

3) 安全域應建立邊界，設置滿足網(wǎng)絡安全要求的數(shù)據(jù)流控制設備和措施；

4) 安全域可為改進配置的目的劃分為分安全域；

每個安全域都可以按照域內關鍵系統(tǒng)的最高網(wǎng)絡安全要求指定一個網(wǎng)絡安全等級。如果核設施內存在多個安全域，需要同等程度保護時，可指定為同一個網(wǎng)絡安全等級。